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SYSTEME ET PROCEDES D'ACCES SECURISE A UN SERVEUR INFORMATIQUE UTILISANT LEDIT 
SYSTEME. 

(57) Le systeme comporte: 

- un site client (1 ) comprenant une unite centrale de con- 
trole et de traiternent de donnees (2), et un telephone mobi- 
le (5), 

- un site serveur (7) comprenant une unite centrale de 
commande et de traiternent de donnees (8) prevue notam- 
ment pour gerer un protocole d'authentification du client uti- 
lisateur du site client. 

Le site serveur (7) est connecte au reseau de telephonie 
mobile (6) et comprend en outre: une base de donnees 
d'authentification (BDA), des moyens de synthese vocale; 
et des moyens d'authentification d'un mot de passe 
d'authentification (MPAU) regu par le site serveur via le re- 
seau de transmission de donnees (4). 

Les procedes mettant en oeuvre ce systeme cornpren- 
nent une etape dans laquelle le serveur appelle le numero 
du telephone mobile pour demander une donnee qui est soit 
transmise par I'utilisateur via les touches de son telephone 
mobile, soit via le reseau de transmission de donnees (4). 
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"Systeme et proc^des d'accds s6curis6 & un serveur informatique 

utilisant ledit systeme" 
La pr6sente invention concerne un systeme permettant 
d'augmenter le niveau de s^curisation du protocole d'authentification 
5 du demandeur d'accSs h un serveur informatique et deux procedes 
mettant en oeuvre ledit systeme, 

Le demandeur d'acces ou client utilise en pratique un ordinateur 
individuel muni de moyens de connexion & un reseau de 
communication, par exemple le r6seau Internet. 
10 Le " serveur " est constitu6 d'un ordinateur muni de moyens de 

connexion au meme r6seau. II sert & mettre en relation le client avec 
divers services tels que des bases de donn6es. 

La procedure d'accSs au serveur pour un client se deroule 
classiquement en trois phases : 
15 - I'accfcs au site serveur via I'etablissement d'une connexion (par 

exemple TCP/IP), via un reseau g6n6raliste ou prive de 
transmission de donn§es (par exemple Internet) ; 

- I'entree d'une identification ; et 

- I'entree d'un mot de passe client. 

20 L'accfcs est refus6 si le couple [identification / mot de passe 

client] n'est pas conforme aux informations stock6es dans une base de 
donn6es dite d' n authentication " g<§n§e par le serveur lui-meme ou par 
un serveur intermediate adapts. 

Les procedures connues pr6sentent un certain nombre de 

25 faiblesses vis-&-vis de malveillances, telles que le vol des couples [code 
d'identification / mot de passe] via un logiciel de recherche 
automatique de mot de passe ou une complicite du cot6 " serveur " 
permettant de connaltre le contenu de la base de donnees 
d'authentification. 

30 Diverses solutions sont connues pour renforcer la s6curisation de 

I'accfes : 
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- cdt6 serveur un dispositif auxiliaire permettant la g£n£ration de 
mots de passe aleatoires et/ou crypt£s, mais n£cessitant la 
possession par le client d'un appareil synchronise avec le 
serveur, g£n£rant un mot de passe pseudo-aleatoire et de courte 

5 dur£e de vie en fonction de la date et de I'heure ; 

- la dotation des ordinateurs individuels d'un p6riph6rique lecteur 
d'une carte electronique (" carte & puce ">, s£curisant I'accds 
selon un protocole similaire & celui utilise pour les cartes 
bancaires ; le client doit done disposer d'une telle carte et d'un 

10 p6ripherique special sur le terminal a partir duquel il se connecte 

au rSseau ; 

■ r identification de la machine du client par un code 
d 'identification tel que celui int6gr6 par le constructeur sur ses 
microprocesseurs ; I'acc6s est s6curis6 par identification du 
15 ou des composants connus du serveur ; l'inconv6nient est 

qu'en dehors des machines dument repertories, le client ne 
peut effectuer aucun acc6s. 
Par ailleurs, les systfemes de cryptage connus, tels que 
I'algorithme RSA, n^cessitent des puissances de calcul importantes 
20 pour obtenir un bon niveau de s6curite. 

La pr£sente invention a pour objet de proposer une autre 
solution qui soit tres fiable et peu couteuse. 

Elle propose un systdrne d'acc^s s6curis6 b un serveur 
informatique, comportant: 
25 - un site client comprenant des moyens d'acefcs d un reseau de 
transmission de donn6es et une unite centrale de controle et de 
traitement de donn^es ; et 

- un site serveur comprenant des moyens d'accds audit r6seau de 
transmission de donn£es et une unite centrale de commande et de 
30 traitement de donn£es pr£vue notamment pour g£rer un protocole 
d'authentification du client utilisateur du site client, 
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caracteris6 en ce que : 

- le site client comprend en outre un telephone mobile ; et 

- le site serveur comprend en outre : 

- des moyens de connexion au reseau de telephonie mobile dudit 
5 telephone mobile ; 

- une base de donn6es d'authentification comprenant une donn6e 
d'identification du client et un num6ro de telephone mobile associ6 ; 

- des moyens d'appel du num^ro du telephone mobile du client ; 

- des moyens de synthase vocale ; et 

10 - des moyens d'authentification d'un mot de passe d'authentification 
repu par le site serveur via le r6seau de transmission de donn6es. 

L'idee a la base de la pr6sente invention est done de faire 
intervenir dans le protocole d'authentification un telephone mobile, le 
site serveur 6tant muni de moyens lut permettant d'appeler le 

1 5 telephone mobile et de lui transmettre un message vocal. 

Le syst^me selon I'invention n'exige du cot6 du site client aucun 
dispositif informatique special d'identification, int6gr6 ou p^ripherique. 
il requiert la possession d'un telephone mobile ordinaire, appareil qui 
tend a se g6n6raliser parmi les professionnels et les particuliers. Le 

20 cout d'§quipement cote serveur reste 6galement modeste puisque 
notamment un modem standard du type comportant une unit6 de 
synthase vocale peut etre utilise pour r^aliser la connexion avec le 
reseau de telephonie mobile. 

Un autre avantage selon I'invention reside dans le fait que ni le 

25 poste serveur, ni le poste client ne n6cessitent de puissances de calcul 
importantes compares aux systemes de cryptage de I'etat de la 
technique, d'ou une forte reduction des couts pour un syst&me selon 
('invention. 

La s6curisation apportee par le syst^me selon ('invention est 
30 renforc6e par la procedure d'identification du t6l6phone mobile lui- 
meme par son r6seau d'abonnement. Cette procedure met en oeuvre 
dans le cas de la norme GSM un composant electronique sp6cifique 
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(carte SIM) branch^ sur I'appareil, et la possibility pour le client d'avoir 
un mot de passe modifiable (code PIN) qui doit etre saisi lors de la mise 
en marche du telephone. 

En cas de vol du telephone mobile ou du composant SIM, celui- 
5 ci peut instantan6ment etre mis hors service pour I'ensemble des 
reseaux GSM sur un simple appel au fournisseur d'abonnement du 
telephone mobile. On pourra pr6voir 6galement que suivant une 
declaration de vol, I'accSs au r6seau sera automatiquement ferme. 

Le systeme selon I'invention permet de reutiliser les procedures 

10 existantes en ajoutant un niveau de s6curite. II peut s'appliquer en 
complement de n'importe quel logiciel d'accds. 

Ainsi, la donn6e d'identification demandee au client peut etre le 
couple [code d'identification / mot de passe client] (ID/MPC) du 
protocole d'authentification connu de I'etat de la technique, de sorte la 

1 5 connaissance directe ou indirecte de ce couple ne sera plus suffisante 
en soi pour obtenir I'accfes au serveur. 

Selon une premiere variante du systeme, le site serveur 
comprend en outre des moyens de generation d'un mot de 
passe aleatoire ou pseudo-aleatoire, les moyens de synthase vocale 

20 etant adaptes 3 6mettre un message vocal destine au client via le 
r6seau de telephonie mobile comprenant ledit mot de passe aleatoire 
ou pseudo-aleatoire, le mot de passe d'authentification 6tant derive 
dudit mot de passe aleatoire ou pseudo-aieatoire. 

Ce mot de passe d'authentification peut correspondre au mot de 

25 passe aleatoire ou pseudo aleatoire transmis par le site serveur via le 
telephone ou bien etre constitue dudit mot de passe aleatoire auquel 
est applique une cle connue du client et comprise dans la base de 
donnees d'authentification du serveur. La cie peut etre une constante 
connue et personnelle par exemple ajoutee ou retranchee pour obtenir 

30 le mot de passe serveur. II peut s'agir aussi d'une operation de logique, 
comme une permutation. 
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Selon une seconde variante du systeme, le site client comporte 
en outre des moyens de cryptage du mot de passe client selon une cle 
de cryptage, le mot de passe client crypte obtenu correspond au mot 
de passe d'authentification et il est transmis au site serveur via le 
5 r6seau de transmission de donnSes ; et 

- les moyens d'authentification du site serveur comportent en outre : 

- des moyens de reconnaissance d'un signal envoys par le client 
par les touches du telephone mobile et correspondant a ladite cle 
de cryptage ; et 

10 - des moyens de dScryptage du mot de passe client crypt6 a I'aide de 
la cle de cryptage regue via le r^seau de telephonie mobile. 

Dans cette seconde variante du systeme, les touches du 
telephone mobile sont utilis6es pour transmettre au site serveur la cle 
de cryptage. Les informations n6cessaires au protocole 

1 5 d'authentification sont transmises au site serveur via deux rdseaux 
differents : le mot de passe client crypte par le r6seau de transmission 
de donn^es, par exemple Internet, et la cle de cryptage connue du 
client via le r6seau de t6l6phonie mobile. 

La pr^sente invention propose 6galement un procedd de 

20 securisation d'acces & un serveur informatique mettant en oeuvre le 
systeme selon I'invention, et plus particulierement la premiere variante 
de systeme, ce proc6de comprenant les 6tapes cote site 
serveur consistant £ : 

- demander au client utilisant le site client une donn^e d'identification 
25 par ('intermediate du reseau de transmission de donn^es ; 

rechercher ladite donn6e dans une base de donn6es 
d'authentification; 

- rechercher dans la base de donn^e d'authentification le num^ro de 
telephone mobile assocte du client ; 

30 - appeler ledit num6ro de t6l6phone mobile ; 

- en cas d'obtention de la communication avec le telephone mobile 
g6n6rer un mot de passe aleatoire ou pseudo-aleatoire ; 
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- 6mettre un message vocal comprenant ledit mot de passe aleatoire 
via le r6seau de telephonie mobile ; 

- demander au client de fournir un mot de passe d'authentification 
derive dudit mot de passe aleatoire ou pseudo-aleatoire par 

5 I'intermediaire du r6seau de transmission de donn6es ; et 

- authentifier ledit mot de passe d'authentification. 

La pr^sente invention propose 6galement un proced6 de 
securisation d'accfes & un serveur informatique mettant en oeuvre le 
systeme selon I'invention, et plus particulierement la seconde variante 
10 de systeme, comprenant les 6tapes cot6 site serveur consistant d : 

- demander au client une donnde d'identification par I'intermediaire du 
reseau de transmission de donn6es ; 

- rechercher dans la base de donn6e d'authentification le num6ro de 
telephone mobile assocte du client ; 

15 - appeler ledit num6ro de telephone mobile ; 

- en cas d'obtention de la communication avec le telephone mobile, 
6mettre un message vocal demandant la cle de cryptage ; 

- authentification du mot de passe d'authentification comprenant : 

- la reconnaissance de la cle de cryptage transmise par le client 
20 via les touches du telephone mobile ; 

- authentification du mot de passe d'authentification comprenant : 

- la reconnaissance de la cle de cryptage transmise par le client . 
via les touches du telephone mobile ; 

le decryptage du mot de passe d'authentification, 
25 correspondant au mot de passe client crypt6, a I'aide de ladite cl6 de 
cryptage ; et 

- I'authentification du mot de passe client ; 

ledit proc^de cornportant cote site client les Stapes consistant £ 
crypter le mot de passe client saisi par le client avant de I'envoyer via 
30 le r6seau de transmission de donn6es. 
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La connaissance seule ou le vol du contenu de la base de 
donnees d'authentification ne suffit pas pour permettre un accSs 
malveillant. 

On pourra egalement renforcer la s6curisation des proc6d§s 
5 selon I'invention, en pr^voyant la deactivation automatique de I'acc&s 
au serveur dks qu'un nombre predetermine de tentatives a 6chou6 a 
Tune quelconque des etapes de saisie, et la possibilite de demander la 
deactivation immediate du telephone auprds du fournisseur de 
telephonie mobile. 

1 0 La presente invention sera mieux comprise et d'autres avantages 

apparaitront a la lumfere de la description qui va suivre de deux 
exemples de realisation du systeme et des precedes associes selon 
I'invention, description faite en reference aux dessins annexes sur 
lesquels : 

15 - la figure 1 est un schema synoptique du premier exemple de 

realisation du systeme selon I'invention ; 

- la figure 2 est un organigramme du procede d'authentification 
execute par le serveur mettant en oeuvre le systeme de la figure 1 ; 

- la figure 3 montre schematiquement une page £cran g6n6r§e 
20 par le serveur et utilisee par le client pour la transaction 

d'authentification du procede de la figure 2 ; 

- la figure 4 est un schema synoptique du second exemple de 
realisation du systeme selon I'invention ; 

- la figure 5 est un organigramme du procede d'authentification 
25 execute par le serveur mettant en oeuvre le systeme de la figure 4 ; et 

- la figure 6 montre schematiquement une page £cran g6ner6e 
par le serveur et utilisee par le client pour la transaction 
d'authentification du procede de la figure 5 ; 

Comme illustre schematiquement £ la figure 1 , un premier 
30 exemple de realisation du systeme selon I'invention comprend : 

- sur un site client 1, un ordinateur individuel 2 equipe d'un 
modem 3 pour acceder £ un r6seau de transmission de donn6es 4 et 
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un telephone mobile 5 personnel, abonn6 & un r6seau de telephonie 
mobile 6, par exemple au standard GSM ; et 

- sur un site serveur 7, un serveur constitue d'un ordinateur 8 
sur lequel est charge un logiciel adapts £ g6rer le proc£de d'acces du 
5 client aux services 9 du serveur selon I'invention, notamment le 
protocole d'authentification du client ; I'ordinateur est 6quip6 d'un 
modem 10 lui permettant d'^tablir une liaison avec le r6seau de 
telephonie mobile 6 et d'appeler un num6ro de telephone, de moyens 
1 1 de generation d'un mot de passe al6atoire ou pseudo-aieatoire 

10 MPA, et d'un circuit de synthese vocale 12 lui permettant de 
communiquer au telephone mobile 5 un message comprenant le mot de 
passe MPA g6n6r6 aleatoirement n6cessaire au protocole 
d'authentification. L'ordinateur 8 est relie S une base de donn6es 
d'authentification BDA comprenant pour chaque client repertorie un 

15 triplet [code d'identification ID / mot de passe client MPC/num6ro de 
telephone mobile personnel associe], 

Le procede d'acc&s s6curis6 se deroule de la manure suivante. 
Le client sur le site client 1 demande I'acc&s au serveur. La 
liaison entre le site client 1 et le site serveur 7 via le r^seau de 

20 transmission de donn6es 4 se fait de manidre classique et connue en 
soi par I'interm6diaire du modem 3 du site client 1, du r§seau 
telephonique commute, d'un fournisseur d'accfes au r6seau g6n6raliste 
Internet et d'lnternet. 

En retour, le serveur affiche sur l'ordinateur individuel 2 une 

25 page 6cran 15, representee sur la figure 3, comprenant trois champs 
de saisie : les deux premiers champs 1 6 et 17 correspondent au couple 
classique [code d'identification ID et mot de passe client MPC], le 
troisiSme champs 18 correspond d un mot de passe d'authentification 
MPAUT qui est derive du mot de passe aleatoire ou pseudo-aieatoire 

30 MPA qui sera communique par le serveur au site client 1 via le 
telephone mobile 5. Ce mot de passe d'authentification MPAUT 
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correspond ici au mot de passe aleatoire ou pseudo-aleatoire MPA 
genere par le serveur. 

Dans un premier temps, le client saisit son couple [code 
d'identification-mot de passe client] (ID/MPC) qui est d6j£ s£curis6 par 
5 n'importe quel processus connu & partir de la base de donn6es 
d'authentification BDA. 

En se r6ferant & I'organigramme de la figure 2, les etapes 
suivantes du protocole, sp6cifiques & la presente invention, ne seront 
executees par le serveur qu'S la condition prealable que I'etape de 
10 controle identification / mot de passe client a I'etape 20 soit couronn^e 
de succ&s. 

Si tel est le cas, I'etape suivante 21 consiste & composer le 
num6ro du telephone mobile identify gr§ce h la base de donn6es 
d'authentification BDA a I'aide du modem 10. A I'etape suivante 22, si 

15 la communication telephonique avec le telephone mobile est obtenue 
(par exemple par I'indication du " d6crochage " par le modem 10 du 
site serveur), le serveur g6n6re un mot de passe aleatoire MPA et 6met 
grace a son circuit de synthese vocale ce mot de passe MPA g6n6r6 
vers le telephone mobile 5. L'etape suivante 23 correspond a une 

20 etape d'attente de la saisie du mot de passe d'authentification MPAUT 
par le client au niveau du site client pendant une dur6e limitSe 
pr6determin6e (etape 24). Si & I'etape 25, le mot de passe MPAUT 
saisi est conforme, I'authentification est confirmee et le client peut 
acc6der aux services 9 du serveur. 

25 L'echec de I'authentification intervient done dans les 

circonstances suivantes : 

- echec de I'authentification classique du couple [ID /MPC] ; 

- non-obtention de la communication avec le telephone mobile ; 

- mauvaise ou absence d'entr6e du second mot de passe 
30 MPAUT dans le delai predetermine. 

Des variantes de realisation sont possibles, notamment 
concernant le mot de passe serveur derive du mot de passe aleatoire 
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MPA qui peut etre constitue dudit mot de passe aleatoire MPA auquel 
est ajoutee une cle arithmetique ou logique personnelle au client et 
comprise dans la base de donn6es d'authentification BDA dans un 
champs supplemental ci ceux d6jS prevus pour le code d'identification 
5 ID, le mot de passe client MPC et le num6ro de telephone mobile. Le 
serveur sera 6quip6 de moyens lui permettant de recalculer le mot de 
passe g6n6r6 MPA pour proceder h I'etape d'authentification. 

Les figures 4 a 6 concernent un autre mode de realisation du 
systeme selon I'invention se differenciant par le fait que le site client 1 

10 est equip6 en outre de moyens de cryptage 30 qui sont adaptes b 
crypter le mot de passe client MPC une fois celui-ci saisi par le client 
avant de I'envoyer via le r£seau 4 de transmission de donn6es au site 
serveur 7. Du cote du site serveur, celui se differencie par des moyens 
de reconnaissance 31 d'un signal envoys par le client via les touches 

15 de son telephone mobile personnel 5 et des moyens de d6cryptage 32 
adaptes & decrypter le mot de passe client MPC selon une cle de 
cryptage qui est transmise par le client via les touches de son 
telephone mobile. La base de donn6es d'authentification BDA ne 
comporte ici que deux champs contenant Tun le code ID et I'autre le 

20 mot de passe client MPC. Le protocole d'authentification apres 
decryptage correspond au protocole connu dans Tart anterieur. 

Le procede d'acc^s s6curis6 utilisant ce syst&me se deroule de la 
manure suivante. 

En r6ponse & une demande d'acc^s de la part du client utilisant 

25 le site client 1 , le serveur aff iche sur I'ordinateur individuel 2 une page 
6cran 35 representee b la figure 6, ne comprenant par rapport au 
premier mode de realisation que deux champs de saisie 36 et 37 qui 
correspondent au couple classique [code d'identification ID et mot de 
passe client MPC]. Immediatement apr£s la saisie du mot de passe 

30 client MPC, les moyens 30 cryptent le mot de passe client saisi selon 
une cle de cryptage connue seulement du client. Ce mot de passe 
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client crypte correspond au mot de passe dit d'authentification du 
proc^de selon I'invention. 

En se ref6rant & I'organigramme de la figure 5, les etapes du 
protocole d'authentification se deroulent de la manure suivante. 
5 Dans un premier temps, d l'etape 40, le serveur, ayant regu le 

mot de passe client crypte et le code ID # identifie le client a I'aide du 
code d'identification ID, puis a I'etape 41, il recherche dans la base de 
donn£es d'authentification BDA, le num6ro de telephone mobile. 
L'etape 42 suivante consiste £ composer le num6ro du telephone 

10 mobile & I'aide du modem 10. Si & l'6tape suivante 43 la 
communication avec le telephone mobile est obtenue, le serveur 6met 
grace 3 son circuit de synthase vocale 12 un message (etape 45) 
signalant qu'il attend de la part du client la cle de cryptage via les 
touches du telephone mobile. L'etape 46 correspond a une etape 

1 5 d'attente de la saisie de cette cle pendant une dur£e Iimit6e 
predetermine. L'etape suivante 47 consiste a authentifier le mot de 
passe MPAUT repu via le r6seau 4 par le decryptage de ce mot de 
passe avec la cle et I'authentification du mot de passe client obtenu, 
conform^ment au protocole d'authentification. Si le mot de passe 

20 client MPC est conforme (etape 48), I'authentification est confirmee et 
le client peut acceder aux services 9 offert par le serveur. 

L'echec de I'authentification interviendra done dans les 
circonstances suivantes : 

- non-obtention de la communication avec le telephone mobile ; et 
25 - mauvaise ou absence d'entr6e du mot de passe client MPC et de la 
cle de cryptage. 
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Revindications 

1. Systdme d'acc^s s6curis6 & un serveur informatique, 
comportant: 

5 - un site client (1) comprenant des moyens d'accds (3) a un r6seau de 
transmission de donn^es (4) et une unite centrale de controle et de 
traitement de donn6es (2) ; et 

- un site serveur (7) comprenant des moyens d'acc&s audit r^seau de 
transmission de donn^es et une unit6 centrale de commande et de 

10 traitement de donn6es (8) pr6vue notamment pour g6rer un protocole 
d'authentification du client utilisateur du site client, 
caracteris6 en ce que : 

- le site client (1) cornprend en outre un telephone mobile (5) ; et 

- le site serveur (7) cornprend en outre : 

15 - des moyens de connexion (10) au r^seau de telephonie mobile 
(6) dudit telephone mobile et d'appel d'un num6ro de telephone ; 

- une base de donn6es d'authentification (BDA) comprenant une 
donn6e d'identification (ID/MPC) du client et un num6ro de telephone 
mobile associ6 ; 

20 - des moyens de synthase vocale ; et 

- des moyens d'authentification d'un mot de passe d'authentification 
(MPAU) re<?u par le site serveur via le r6seau de transmission de 
donn^es (4). 

25 2. Systdme selon la revendication 1 caracteris6 en outre en ce 
que le site serveur cornprend des moyens de g6n6ration d'un mot de 
passe aleatoire ou pseudo-ateatoire (MPA), les moyens de synthese 
vocale 6tant adaptes h 6mettre un message vocal destin6 au client via 
le r6seau de telephonie mobile comprenant ledit mot de passe aleatoire 

30 ou pseudo-aleatoire, le mot de passe d'authentification (MPAU) 6tant 
deriv6 dudit mot de passe aleatoire ou pseudo-aleatoire (MPA). 
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3. Syst&me selon la revendication 2, caracteris6 en ce que le mot 
de passe d'authentification (MPAU) correspond au mot de passe 
aleatoire ou pseudo-al6atoire (MPA) g6n6r6 par le serveur et 

5 communique via le telephone mobile. 

4. Systeme selon la revendication 2 ou 3, caracteris6 en ce que le 
mot de passe d'authentification (MPAU) est constitu6 par le mot de 
passe aleatoire ou pseudo-aleatoire (MPA) g6n6r6 par le serveur et 

10 communique via le telephone mobile auquel est appliqute une cle 
connue du client et comprise dans la base de donnte d'authentification 
(BDA) du serveur. 

5. Systdme selon Tune des revendications 2 d 4, caracteris6 par 
1 5 des moyens de controle de la donn6e d'identification. 

6. Systfeme selon la revendication 5, caracteris6 en ce que la 
donnee d'identification est constitute par un couple [code 
d'identification / mot de passe client] (ID,MPC) compris dans la base 

20 de donnte d'authentification du serveur. 

7. Syst6me selon Tune des revendications 2 a 6, caract6ris6 en ce 
qu'il comporte des moyens de temporisation pour limiter dans le temps 
la possibility de transmission pour le site client du mot de passe 

25 d'authentification (MPAU). 

8. Systdme selon la revendication 6 ou 7, caracteris6 en ce que la 
base de donn6es d'authentification (BDA) comprend pour chaque client 
quatre champs : 

30 - un champs comprenant le code d'identification (ID) ; 
- un champs comprenant le mot de passe client (MPC) ; 



BNSDOCID: <FR 2795264A1 J_> 



2795264 



- 14 - 

- un champs comprenant le num6ro de telephone mobile du client ; et 

- un champs comprenant la c!6. 

9. SystSme selon la revendication 1, caract6ris6 en ce que : 

5 - le site client comporte des moyens de cryptage du mot de passe 
client (MPC) selon une c\6 de cryptage, le mot de passe client crypte 
obtenu correspond au mot de passe d'authentification (MPAUT) et il 
est transmis au site serveur via le r6seau de transmission de 
donn6es (4) ; et 

10 - les moyens d'authentification du site serveur comportent en outre : 

- des moyens de reconnaissance d'un signal envoy6 par le client 
par les touches du telephone mobile et correspondant a ladite cl6 
de cryptage ; et 

- des moyens de decryptage du mot de passe client crypte & 
1 5 I'aide de la cle de cryptage re$ue via le rdseau de telephonie 

mobile (6). 

10. Systdme selon la revendication 9, caract6ris6 en ce qu'il 
comporte des moyens de temporisation pour limiter dans le temps la 

20 possibility de transmission pour le client de la cle de cryptage via les 
touches du telephone mobile. 

11. Proc6d6 de s6curisation d'accds h un serveur informatique (7), 
mettant en oeuvre un syst^me selon Tune des revendications 1 i 8, 

25 comprenant les Stapes cote site serveur consistant & : 

- demander au site client une donn6e d'identification (ID, MPC) par 
I'intermediaire du r6seau de transmission de donn6es (4) ; 

- rechercher ladite donn6e (ID,MPC) dans une base de donnSes 
d'authentification (BDA) ; 

30 - rechercher dans la base de donn6e d'authentification (BDA) le num6ro 
de telephone mobile associe du client ; 
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- appeler ledit num6ro de telephone mobile ; 

- en cas d'obtention de la communication avec le telephone mobile 
g6n£rer un mot de passe aleatoire ou pseudo-aleatoire (MPA) ; 

- emettre un message vocal comprenant ledit mot de passe aleatoire 
5 (MPA) via le reseau de telephonie mobile (6) ; 

- demander au client de fournir un mot de passe d'authentification 
(MPAUT) derive dudit mot de passe aleatoire ou pseudo-aleatoire 
(MPA) par ('intermediate du reseau de transmission de donn6es (4) ; et 

- authentifier ledit mot de passe d'authentification (MPAUT). 

10 

12. Proced6 selon la revendication 11, caracteris6 en ce que le mot 
de passe d'authentification (MPAUT) correspond au mot de passe 
aleatoire ou pseudo-aleatoire (MPA) g6n6r6 par le serveur et 
communique via le telephone mobile. 

15 

13. Procede selon la revendication 11, caracteris6 en ce que le mot 
de passe d'authentification (MPAUT) est constitue par le mot de passe 
aleatoire ou pseudo-aleatoire (MPA) g6n6r6 par le serveur et 
communique via le telephone mobile, auquel est appliqu^e une cle 

20 connue du client et comprise dans la base de donn£e d'authentification 
du serveur (BDA), I'etape d'authentification comportant une 6tape de 
conversion dudit mot de passe d'authentification en mot de passe 
aleatoire ou pseudo-aleatoire (MPA) par application de ladite cle. 

25 14. Procede selon I'une quelconque des revendications 11 a 13, 
caracterise par une etape de controle de la donn^e d'identification 
(ID,MPC) pr^alable a I'appel du num£ro de telephone mobile. 

15. Procede selon la revendication 14, caracterise en ce que la 
30 donn£e d'identification demand^e au client est un couple [code 
d'identification / mot de passe client] (ID/MPC). 
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16. Proceed selon Tune des revendications pr6c6dentes, caracteris6 
en ce que I'etape qui consiste & demander au client le mot de passe 
d'authentification (MPAUT) se d^roule pendant une dur6e 

5 predetermine au dela de laquelle I'authentification est refus§e. 

17. Proced^ de s6curisation d'acefcs h un serveur informatique (7), 
mettant en oeuvre un systSme selon Tune des revendications 1 , 9 ou 
10, comprenant les 6tapes c6t6 site serveur consistant a : 

10 - demander au client une donn6e d'identification (ID) par I'interm6diaire 
du r6seau de transmission de donn^es (4) ; 

- rechercher dans la base de donn6e d'authentification (BDA) le num^ro 
de telephone mobile associe du client ; 

- appeler ledit numero de telephone mobile ; 

15 - en cas d'obtention de la communication avec le telephone mobile, 
6mettre un message vocal demandant la cl6 de cryptage ; 

- authentification du mot de passe d'authentification (MPAUT) 
comprenant : 

- la reconnaissance de la cle de cryptage transmise par le client 
20 via les touches du telephone mobile ; 

- le decryptage du mot de passe d'authentification (MPAUT), 
correspondant au mot de passe client crypto, & I'aide de ladite cl6 de 
cryptage ; et 

- I'authentification du mot de passe client (MPC) ; 

25 ledit proc6de comportant cot6 site client les 6tapes consistant & 

crypter le mot de passe client (MPC) saisi par le client avant de 
I'envoyer via le r6seau de transmission de donn6es (4). 

18. Proced6 selon la revendication 17, caracterisS en ce que I'etape 
30 qui consiste £ r6ceptionner le signal repr6sentatif de la cle de cryptage 

se d6roule pendant une dur^e predetermine au delci de laquelle 
I'authentification est refus^e. 
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